Згідно з повідомленням 404 Media від 1 червня, Meta підтвердила, що хакери скористалися вразливістю в безпекі її AI-чатбота для обслуговування клієнтів, успішно перехопивши контроль над кількома відомими обліковими записами в Instagram. Серед постраждалих акаунтів — офіційний акаунт в Instagram, пов’язаний із Білим домом під час президентства Обами (США), відомий б’юті-бренд Sephora, а також офіційний акаунт керівника — головного старшого сержантського офіцера космічних сил США.
Повний ланцюг атаки: як обходили AI-чатбот
Згідно з відео, яке цитує 404 Media, та яке на Telegram поширювали хакерська спільнота й дослідники з кібербезпеки, цей сценарій атаки вже підтверджено:
Маскування локації: атакувальники використовували VPN, щоб підмінити мережеву локацію на регіон тієї самої країни, що й цільовий обліковий запис
Надсилання запиту: надсилали діалоговий запит у AI-чатбот Meta AI з проханням прив’язати цільовий обліковий запис до нової адреси електронної пошти, яку надавали атакувальники
Отримання коду підтвердження: AI-чатбот Meta AI надсилав 8-значний код підтвердження на нову поштову скриньку, яку вказували атакувальники
Завершення перехоплення: атакувальники вводили код у чаті, отримуючи доступ до скидання пароля, і повністю заволодівали обліковим записом IG
У офіційному поясненні Meta зазначено, що коли електронну пошту облікового запису змінюють, система мала б надсилати на попередню поштову скриньку повідомлення зі спеціальним посиланням для відновлення, однак вразливість в AI-чатботі Meta AI не дала цьому механізму спрацювати належним чином.
Відповідь Meta: вразливість усунено, кількість постраждалих акаунтів ще не оприлюднена
Meta офіційно підтвердила, що ця подія з кібербезпеки є правдивою, що вразливість уже виправлена, і що компанія зараз допомагає постраждалим акаунтам посилити захист. Загальна кількість постраждалих акаунтів станом на момент публікації повідомлення ще не оголошувалася.
AI-асистент Meta AI для обслуговування клієнтів запустили на початку 2026 року. У ньому заявляли, що він допомагатиме користувачам із ключовими запитами, зокрема скиданням паролів і відновленням безпеки облікового запису. Через кілька місяців після запуску одразу спалахнула ця атака.
Передумови звільнень: 20 травня 2026 року оголосили скорочення 8,000 працівників
Mark Zuckerberg 20 травня 2026 року надіслав працівникам по всьому світу повідомлення про скорочення штату, що передбачає звільнення приблизно 8,000 працівників (10% від загальної чисельності). Мета — знизити операційні витрати, щоб покрити прогнозні капітальні витрати на AI у діапазоні до 1,250–1,450 мільярда доларів, а також просунути більш плоске управління.
За повідомленням Wired, Meta у першому кварталі 2026 року встановила рекорд прибутку майже на 27 мільярдів доларів, але всередині компанії мораль співробітників упала донизу. Після підтвердження атаки на акаунти Huang Wenjin публічно заявила: «Вітаю Meta з тим, що вони звільнили команду Trust and Safety (T&S) і передали підтримку акаунтів вразливим до обману AI-ботам, які автоматизовано все обробляють». Зі свого боку Meta не надала офіційних коментарів щодо масштабу скорочень у T&S та впливу на можливості з кібербезпеки.
Поширені запитання
У чому ключова проблема вразливості AI-чатбота Meta для обслуговування клієнтів?
Згідно з повідомленням 404 Media, AI-чатбот Meta AI під час отримання запиту на зміну адреси електронної пошти облікового запису надсилав код підтвердження на нову поштову скриньку, яку надавали атакувальники, не примушуючи безпековий механізм спрацьовувати із повідомленням або посиланням для відновлення на попередню поштову скриньку. У нормальному процесі зміна електронної пошти має надсилати повідомлення на попередню поштову скриньку, але реалізація AI-чатбота обходила цю перевірку.
Які відомі акаунти підтвердили, що їх зачепило, і чи Meta оприлюднила загальну кількість постраждалих?
Підтверджені відомі акаунти, яких це торкнулося, включають офіційний Instagram-акаунт, пов’язаний із Білим домом часів колишнього президента США Обами, б’юті-бренд Sephora, а також офіційний акаунт головного старшого сержантського офіцера космічних сил США. Meta підтвердила, що атака справді сталася, але станом на момент повідомлення не опублікувала загальну кількість постраждалих акаунтів.
Який прямий зв’язок між планом Meta щодо скорочень і цією подією з кібербезпеки?
Колишня співробітниця Meta Huang Wenjin (Jane Manchun Wong) публічно вказала, що після скорочення команди T&S підтримку облікових записів почали обробляти AI-боти, і також назвала це одним із факторів, що дозволили атаці бути успішною. Meta з боку компанії не надала офіційних пояснень щодо конкретних масштабів скорочень у T&S та впливу на загальну спроможність захисту в кібербезпеці.
